Post on 10-Jun-2020
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 1 de 25
TABLA DE CONTENIDO
INTRODUCCIÓN ............................................................................................................................. 2
INTERACCIÓN DE LA GESTIÓN DE ACTIVOS DE INFORMACIÓN CON LAS DEMÁS
GESTIONES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN .................. 2
1. OBJETIVO ................................................................................................................................. 3
2. ALCANCE ................................................................................................................................. 3
3. DEFINICIONES ......................................................................................................................... 3
4. DESARROLLO .......................................................................................................................... 7
4.1. INVENTARIO DE ACTIVOS DE INFORMACIÓN ..................................................................... 7
4.1.1. Identificación y validación de Activos de Información ......................................................... 7
4.1.1.1. Identificación Sede de la Dirección General ....................................................................... 8
4.1.1.2. Identificación en las Sedes Regionales............................................................................... 8
4.1.2. Consolidación de los activos de Información ........................................................................ 9
4.1.3. Personal que interviene en el levantamiento y actualización del inventario de activos .......... 9
4.1.4. Aceptación de los Activos de Información .............................................................................. 9
4.1.5. Publicación de los Activos de Información: ........................................................................... 9
4.1.6. Gestión de Riesgos para los activos de Información ........................................................... 10
4.2. INFORMACIÓN PLANTILLA LEVANTAMIENTO DE ACTIVOS ............................................. 10
4.3. IDENTIFICACIÓN DE ÁREAS SEGURAS .............................................................................. 21
4.4. LISTADO DE ACTIVIDADES .................................................................................................. 21
5. DOCUMENTOS DE REFERENCIA......................................................................................... 23
6. RELACIÓN DE FORMATOS ................................................................................................... 23
7. CONTROL DE CAMBIOS ....................................................................................................... 23
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 2 de 25
INTRODUCCIÓN
Este documento presenta la metodología para realizar el levantamiento y actualización del
inventario y clasificación de los activos de información que son manejados por los
Colaboradores1 en el marco del Modelo de Operación por Procesos del Instituto Colombiano
de Bienestar Familiar - ICBF, con el fin principal de determinar qué activos de información
posee el Instituto, realizar su clasificación y valoración de acuerdo con los criterios de
confidencialidad, integridad y disponibilidad de la Información.
El levantamiento de activos de Información del ICBF está enmarcado en la Norma Técnica
Colombiana NTC ISO/IEC 27001:2013, Ley 1712 de 2014 “Por medio de la cual se crea la
Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan
otras disposiciones.”, Ley 1581 de 2012 “Por la cual se dictan disposiciones generales para
la protección de datos personales.”, Decreto 1078 de 2015 "Por medio del cual se expide el
Decreto Único Reglamentario del Sector de Tecnologías de la Información y las
Comunicaciones", Guía para la administración del riesgo y el diseño de controles en
entidades públicas y demás normativa vigente aplicable a los activos de información de
seguridad y privacidad de la información, seguridad digital y continuidad de la operación
tecnológica, dando cumplimiento a los principios de:
Inventario de activos: Se identifica la información como activo primario del Instituto y
activos de soporte tales como Hardware, Recurso Humano, etc.
Propiedad de los activos: Se identifica por cada activo de Información su propietario.
Clasificación de la Información: Es el ejercicio por medio del cual se determina que la
información pertenezca a uno de los niveles de clasificación estipulados por el Instituto,
teniendo un inventario de activos. La clasificación tiene como objetivo asegurar que la
información tenga el nivel de protección adecuado. La información debe clasificarse en
términos de sensibilidad y criticidad para el Instituto.
INTERACCIÓN DE LA GESTIÓN DE ACTIVOS DE INFORMACIÓN CON LAS DEMÁS
GESTIONES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
La Gestión de Activos de Información interactúa con las gestiones de la siguiente manera:
Gestión de Riesgos de seguridad de la Información: Una vez identificados los
activos de información se deberán socializar con la gestión de riesgos aquellos cuya
1 La palabra colaborador se refiere a cualquier funcionario, contratista que, debido a su trabajo, requiera acceso a la información y tenga un vínculo contractual con el ICBF. Esta definición
es extensible al documento de Inventario y Clasificación y demás documentos en los que éste atributo se mencione.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 3 de 25
criticidad fue valorada como Alta para ser usada como insumo en la identificación de
riesgos. De igual manera, cada actualización que surta con los activos se deberá
reportar a la gestión de riesgos.
Gestión de Incidentes de Seguridad de la Información: Una vez se presente un
incidente de seguridad de la información el gestor deberá dar a conocerlos con el fin
de realizar una actualización de la valoración y el nivel de seguridad de los activos
afectados.
Gestión de Continuidad de la Operación tecnológica: identificando los activos que
soportan los servicios tecnológicos de la Entidad.
Plan de Cambio y Cultura de Seguridad y privacidad: Divulgando y socializando a
los colaboradores del ICBF los temas relacionados a la Gestión de Activos de
Información, generando una cultura enfocada en las buenas prácticas y la importancia
del buen manejo de los Activos, así mismo midiendo el conocimiento y apropiación de
estos.
Gestión Estrategia de Gobierno Digital: El levantamiento de Activos de Información
da cumplimiento a uno de los ítems del componente del Modelo de Seguridad y
Privacidad de la Información del MINTIC.
1. OBJETIVO: Dar las directrices para identificar y clasificar los activos de información de los
procesos, con el fin de determinar los niveles de protección, riesgos de seguridad de la
información con el fin de mantener actualizado el inventario.
2. ALCANCE: El documento aplica a nivel de la Sede de la Dirección General, Regional y Centros
Zonales (CAIVAS, CESPAS, SRPA, CAVIF, Casas de Justicia y Unidades Locales).
3. DEFINICIONES
Activo de Información: Se denomina activo a aquello que tiene valor para la
organización y por lo tanto debe protegerse. De manera que un activo de información es
aquel que contiene o manipula información, abarcando seguridad digital y continuidad de
la operación tecnológica.
Activo de Continuidad: Recursos esenciales para la prestación de los servicios
correspondiente a los procesos determinados críticos para la Entidad.
Activo Seguridad Digital: Dispositivo electrónico programable, incluido el hardware,
software y datos en estos dispositivos.
Áreas Seguras: Son lugares en donde se localiza y procesa información de carácter
reservada y/o crítica para la Entidad.
Base de Datos: Es un conjunto de datos de forma organizada con una coherencia
sistemática, que permite administrar la información; para el ICBF solo se tendrán en
cuenta las bases de datos que soporten los sistemas de información en operación y
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 4 de 25
aquellos archivos en formato Excel o Access que operan y aún no están en custodia de
la Dirección de Información y Tecnología.
Clasificación de la Información: Es el ejercicio por medio del cual se determina que la
información pertenezca a uno de los niveles de clasificación estipulados por el Instituto,
teniendo un inventario de activos. La clasificación tiene como objetivo asegurar que la
información tenga el nivel de protección adecuado. La información debe clasificarse en
términos de sensibilidad e importancia para el Instituto.
A continuación, se describen las partes que intervienen en la clasificación de activos, sus
responsabilidades:
Propietario del activo Responsabilidades
Se refiere al líder del proceso
en el cual se está realizando
el levantamiento de activos
de información.
Identificar y actualizar y
mantener los activos de
información.
TABLA No. 1
Custodio del Activo Responsabilidades
Se refiere al cargo de la
persona que tiene bajo su
responsabilidad el activo de
Información que se está
identificando.
Administrar y hacer efectivo los
controles que el propietario del
activo haya definido con el fin
de preservar la
confidencialidad, integridad,
autenticidad y disponibilidad de
los activos de información. TABLA No. 2
Confidencialidad: Entendida como la garantía del acceso a la información únicamente de
los usuarios autorizados.
Control: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos,
prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de
gestión o de naturaleza legal. El control también se utiliza como sinónimo de salvaguarda o
contramedida.
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables. Por ejemplo, su documento de identidad,
el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral,
o profesional.2
2 Tomado de la Ley 1581 de 2012
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 5 de 25
Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias
personas naturales determinadas o determinables.
Dato Personal Privado: Es un dato personal que por su naturaleza íntima o reservada solo
interesa a su titular y para su tratamiento requiere de su autorización expresa. (Ej. Nivel de
escolaridad).
Dato Personal Semiprivado: Son datos que no tienen una naturaleza íntima, reservada, ni
pública y cuyo conocimiento o divulgación puede interesar no solo a su titular, sino a un
grupo de personas o a la sociedad en general. Para su tratamiento se requiere la autorización
expresa del titular de la información. (Ej. Dato financiero y crediticio).
Datos sensibles: se entiende por datos sensibles aquellos que afectan la intimidad del
Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que
promueva intereses de cualquier partido político o que garanticen los derechos y garantías
de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y
los datos biométricos.
Datos Personales de menores: La ley describe los datos de los menores de edad como
una categoría especial, por ello, son merecedores de una protección reforzada que le
asegura el respeto de sus derechos fundamentales. Así que, para el tratamiento de sus
datos, sus representantes legales podrán dar la autorización previo ejercicio del menor de
su derecho a ser escuchado, queda proscrito el tratamiento de datos personales de niños,
niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.
Disponibilidad: Entendida como la garantía del acceso a la información en el instante en
que el usuario la necesita.
Gestión de activos: Proceso que determina la clasificación y valoración de los activos de
información, manteniendo actualizado el inventario de activos.
Identificación de activos: Tarea que busca identificar los activos de información del ICBF
correspondientes a la Sede Dirección General, Regionales, Centros Zonales, CAIVAS,
CESPA, CAVIF, Unidades Locales, Unidades Móviles y terceras partes. La clasificación de
los activos se valora de acuerdo con su confidencialidad, integridad y disponibilidad,
obteniendo el inventario de activos de información.
Información: Datos relacionados que tienen significado para la organización. 3 La
información es un activo que, como otros activos importantes del negocio, es esencial para
las actividades de la organización y, en consecuencia, necesita una protección adecuada.4
Información clasificada: Es aquella información que estando en poder o custodia del
Instituto Colombiano de Bienestar Familiar (ICBF), pertenece al espacio propio, particular y
privado o semiprivado de una persona natural o jurídica, por lo cual su acceso podrá ser
negado o exceptuado al público.5
3 Adaptado y traducido de Principles of Information Warfare. Hutchinson W, Warren M. Journal of Information Warfare, 2005. 4 Tomado de NTC ISO/IEC 27002:2013. 5 Tomado de la Ley 1712 de 2014
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 6 de 25
Información pública: Es toda la información que el Instituto Colombiano de Bienestar
Familiar (ICBF), genere, obtenga, o controle. La cual puede ser entregada y/o publicada sin
restricciones a terceros, colaboradores o cualquier persona sin representar riesgo para los
procesos del ICBF.6
Información reservada: Es aquella información que estando en poder o custodia del
Instituto Colombiano de Bienestar Familiar (ICBF), sea negado su acceso al público por daño
a la seguridad pública y sometida a reserva por una norma legal o constitucional.7
Infraestructura Crítica (IC): Son las infraestructuras estratégicas cuyo funcionamiento es
indispensable, por lo que su perturbación o destrucción tendría un grave impacto sobre los
servicios esenciales. Adaptación Ley 8/2011-Gobierno de España8.
Integridad: Entendida como la preservación de la información de forma completa y exacta
desde su creación hasta su destrucción.
Nivel de servicio: Hace referencia al tiempo máximo que el activo de información puede
estar fuera de operación (Indisponibilidad) o al tiempo máximo para suministrar la
información a quien lo solicite, sin que se vea afectado el buen funcionamiento del proceso
o procesos del ICBF.
Proceso: Conjunto de actividades mutuamente relacionadas o que interactúan para generar
valor y las cuales transforman elementos de entrada y salida.
Seguridad de la Información: Es la protección de la información contra una gran variedad
de amenazas con el fin de asegurar la continuidad de la operación tecnológica, minimizar el
riesgo y maximizar el retorno de inversiones y oportunidades de Negocio.9 Adicionalmente,
se define como la preservación de la confidencialidad, integridad y disponibilidad de la
información.
Servicio Tecnológico: servicios que la Dirección de información y tecnología brinda a los
clientes internos y externos de forma transversal.
Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice información
del Instituto en medio digital, físico o a través de las redes de datos y los sistemas de
información del ICBF. Son las personas que utilizan la información para propósitos propios
de su labor y que tendrán el derecho manifiesto de uso dentro del inventario de información.10
6 Tomado de la Ley 1712 de 2014 7 Tomado de la Ley 1712 de 2014 8 Tomado de la Guía para la identificación de Infraestructura Crítica Cibernética (ICC) de Colombia Primera edición. 9 Tomado de NTC ISO/IEC 27002:2013. 10 “Las personas que se relacionan con el ICBF están obligadas a utilizar la información a la cual tengan acceso en virtud de sus funciones o relación contractual, exclusivamente para el
ejercicio de estas”.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 7 de 25
4. DESARROLLO
4.1. INVENTARIO DE ACTIVOS DE INFORMACIÓN
Mediante la definición de un inventario de activos de información, el Instituto Colombiano
de Bienestar Familiar - ICBF identifica y reconoce cuáles son los activos de información,
que ayudan al cumplimiento de la misión del Instituto y las salidas de los procesos del
modelo de operación.
El inventario permite identificar y valorar los activos de información a los que se les debe
brindar mayor nivel de protección por su clasificación y conservación.
Como insumo para el inventario de activos de Información se tomarán las Tablas de
Retención Documental (TRD) del Instituto (validando con el líder del proceso los activos
que se puedan generar de las series, subseries y tipos documentales), la documentación
de apoyo, la documentación de las entradas y salidas de los procesos y dependencias
que no se hayan tenido en cuenta para la construcción de las TRD, el listado maestro de
documentos del SIGE, línea base de infraestructura tecnológica, entre otros activos
fundamentales para la continuidad de la operación tecnológica y la seguridad digital del
ICBF.
Los líderes de los procesos como propietarios de los activos deberán identificar y asignar
un custodio para cada uno de los activos de Información identificados; el custodio debe
ser el encargado de la dependencia en calidad de jefe en donde se identifican los activos
de información, en caso de que sea un tercero, será el representante legal.
La consolidación del inventario se hará una única vez y su actualización se deberá llevar
a cabo cada vez que el líder del proceso lo considere necesario, cuando un incidente o
un riesgo de seguridad y privacidad de la información, seguridad digital o continuidad de
la operación tecnológica reclasifique un activo o cambie de la valoración de los activos
afectados.
4.1.1. Identificación y validación de Activos de Información
Consiste en determinar cuáles son los activos de información que formarán parte del
inventario y clasificación de activos de información, posteriormente se definirán las
propiedades que permiten reconocer su valor para la Entidad.
La identificación y validación es un ejercicio que debe ser realizado por cada líder de
procesos apoyados en sus colaboradores o a quien estos deleguen.
La identificación y validación se harán de la siguiente manera:
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 8 de 25
4.1.1.1. Identificación Sede de la Dirección General
Desde la Dirección de Información y Tecnología solicitará a los líderes de los
procesos, la identificación de activos de información ubicados en la Sede de la
Dirección General, Direcciones Regionales, Centros Zonales, CAIVAS,
CESPA, CAVIF, Unidades Locales y Unidades Móviles.
Se deberá dejar constancia mediante acta la identificación, validación, revisión
y actualización de los activos de información en cada uno de los procesos de
la Sede de la Dirección General, con la finalidad de que se soporte su
aprobación y puedan pasar al nivel regional.
4.1.1.2. Identificación en las Sedes Regionales
Posterior a la identificación de los activos de información de las Regionales11
realizada en la Sede de la Dirección General desde cada uno de los procesos,
será remitida al nivel Regional donde será validado por cada dependencia, para
realizar el registro y actualización del inventario de activos de información.
Las Regionales podrán identificar activos de información que no se encuentren
en el listado detallado por los procesos de la Sede de la Dirección General.
En el caso de que las Regionales hayan identificado activos de información
diferentes a los que se encuentran previamente identificados por los procesos
de la Sede de la Dirección General, estos serán validados y evaluados por cada
proceso con el propósito de determinar si es posible la inclusión en la
consolidación del levantamiento final.
Se deberá dejar constancia mediante acta la identificación, validación, revisión
y actualización de los activos de información en cada uno de los procesos del
nivel Regional, con la finalidad de que se soporte su aprobación.
Adicional a las actas en las Regionales, se deberá enviar un memorando o
correo electrónico por parte de los Directores Regionales indicando el aval de
la gestión realizada, al Director de Información y Tecnología.
11 Se entiende por Regionales: Direcciones Regionales, y Centros Zonales, CAIVAS, CESPA, CAVIF, Unidades Locales, Unidades Móviles adscritas a estas.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 9 de 25
4.1.2. Consolidación de los activos de Información
Una vez validados los activos de información en las Regionales, el Gestor de
Activos del Eje de Seguridad de la Información realizará la consolidación de
estos por cada proceso, posterior a esto, el Director de Información y
Tecnología remitirá memorando a cada líder de proceso en la Sede de la
Dirección General para su validación y aprobación.
4.1.3. Personal que interviene en el levantamiento y actualización del inventario
de activos
El proceso de levantamiento de activos de información será realizado en la
Sede de la Dirección General por profesionales designados por cada
dependencia para tal labor, y con el apoyo de los Profesionales del Eje de
Seguridad de la Información de la Dirección de Información y Tecnología.
En las Regionales, se gestionará con el apoyo del Director Regional a través
de los Coordinadores de Planeación y Sistemas de la Sede Regional,
Coordinadores de Centros Zonales, Profesionales del Grupo de Planeación y
Sistemas (Ingenieros Regionales y Referentes de Calidad), y los colaboradores
delegados por cada dependencia, con el acompañamiento de los Profesionales
del eje de Seguridad de la Información de la Dirección de Información y
Tecnología de la Sede de la Dirección General.
4.1.4. Aceptación de los Activos de Información
Para la aceptación del levantamiento de activos de información a nivel nacional,
el líder del proceso en la SDG deberá enviar al Director de Información y
Tecnología a través de memorando o correo electrónico la aprobación y
aceptación de los activos de información.
4.1.5. Publicación de los Activos de Información:
Una vez se realice la aprobación por parte de los líderes de los procesos, se
procede a la publicación de los activos de información, para lo cual la Dirección
de Información y Tecnología le notificará mediante memorando o correo
electrónico a la Subdirección de Mejoramiento Organizacional que proceda con
la publicación de las matrices de activos de información en el espacio de la
intranet correspondiente a cada proceso o de acuerdo con el procedimiento
establecido para la publicación de documentos.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 10 de 25
4.1.6. Gestión de Riesgos para los activos de Información
Se podrá gestionar como mínimo un riesgo para aquellos activos identificados dentro del tipo
de activo SERVICIO y cuyo nivel de criticidad sea ALTA, de igual manera, gestionar riesgos
para aquellos activos que los líderes de los procesos seleccionen de acuerdo con el nivel de
criticidad o valor que representa para la Entidad, para lo cual desde la gestión de riesgos se
definirá la metodología a seguir para sus tratamientos.
4.2. INFORMACIÓN PLANTILLA LEVANTAMIENTO DE ACTIVOS
A continuación, se detallan los campos que se establecen en el formato para el
levantamiento de activos de Información:
I. IDENTIFICADOR
ID: Número que identifica al activo de información.
Sede - Regional: Identifica el lugar físico en la cual se está realizando el
levantamiento de activos.
Centros zonales: Campo que despliega las sedes regionales, centros zonales,
CAIVAS, CESPA, CAVIF, Unidades Locales, Unidades Móviles de acuerdo con la
regional seleccionada en el campo “Sede-Regional”. Para el caso de la Sede de
la Dirección General solo despliega la opción “No aplica”.
Proceso: Campo que despliega todos los procesos de acuerdo con el mapa de
procesos del Instituto.
Área/Dependencia: Campo que despliega las áreas funcionales que hacen parte
de un proceso del Instituto.
Dependencia Regional: Campo que despliega las dependencias de las
Regionales, Para el caso de la Sede de la Dirección General solo despliega la
opción “No aplica”.
Servicio Tecnológico: Campo que despliega los servicios tecnológicos que
presta la Subdirección de Recursos Tecnológicos:
Almacenamiento
Comunicaciones Unificadas
Gestión de Aplicaciones
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 11 de 25
Seguridad Informática
Servicios de Portales Web
Respaldos
Redes
Servidores
Fluido Eléctrico
UPS
Activo de Información: Campo que indica el nombre de los activos de
Información identificados por cada dependencia en la Sede de la Dirección
General y Regionales.
Tipo de Activo: Campo que contiene la definición del tipo de activo de
información, este campo arroja la información que las áreas de la Sede de la
Dirección General indican cuando se realiza la identificación de activos. Los tipos
de activos de información son:
FÍSICO (Información Física): Corresponde a todos los documentos físicos
como: actas, acuerdos, circulares, informes, manuales, planes entre otros.
ELECTRÓNICO (Información Digital): Corresponde a la información contenida
en equipos locales, servidores, Sistemas de Información etc. Adicional, lo
relacionado con procedimientos operativos o de soporte, planes y demás
documentación del Sistema Integrado de gestión – SIGE.
SOFTWARE: corresponde a software de aplicación, software del sistema,
herramientas de desarrollo y utilidades; por ejemplo, SEVEN, KACTUS, SIM,
SIGUV, SIGA, ISOLUCION, etc. Este tipo de activo aplica únicamente al
proceso de Gestión de la Tecnología e Información en la Sede de la
Dirección General.
RECURSO HUMANO -P (Recurso humano colaborador de Planta): Grupo de
personas que posean información valiosa para el ICBF.
RECURSO HUMANO -C (Recurso humano colaborador Contratista): Grupo de
personas que posean información valiosa para el ICBF.
SERVICIO: Categoría que corresponde a los servicios tecnológicos que presta
la Subdirección de Recursos Tecnológicos, establecidos en el catálogo de
servicios de la DIT, así como otros servicios identificados desde otras
dependencias.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 12 de 25
Nota: Todos los activos tecnológicos de información y de operación deben
estar asociados a un servicio.
HARDWARE: Componentes físicos, como Servidores, Switch, Router, Modem,
token, biométricos, entre otros. Este tipo de activo solo aplica al Proceso de
Gestión de la Tecnología e Información y a los procesos: Gestión
Financiera y Servicios Administrativos, en la Sede de la Dirección General
y Regionales.
SOPORTE: Componentes físicos que no contienen información pero que
soporta la disponibilidad de esta como: UPS, Aires Acondicionado, Planta
Eléctrica entre otros. Este tipo de activos no tiene clasificación de la
información.
INTANGIBLES 12 : Son aquellos activos inmateriales como la imagen
corporativa, y reputación.
Descripción del Activo: Campo que muestra automáticamente la descripción
del Activo de Información al ser escogido en el campo “Activo de Información”,
esta información es previamente proporcionada por cada área de la Sede de
la Dirección General.
Contiene Datos Personales: Campo automático especifica SÍ/NO el activo de
información contiene datos personales, esta información es dada previamente
en la identificación de activos de información por cada área de la Sede de la
Dirección General.
Nota: Si el activo de información contiene datos personales, se debe
especificar en el formato qué clase de dato personal es; público, privado,
semiprivado, sensible, datos de niños, niñas o adolescentes.
Clasificación Datos Personales: Campo que muestra la tipología de datos
personales que pueden contener los activos de información: Público, Privado,
Semiprivado, Sensible, Datos de NNA.
Formato: Campo que hace referencia al tipo de formato en el que se encuentra
el activo, teniendo como base la tabla 3. Esta información es dada previamente
en la identificación de activos de información por cada área de la Sede de la
Dirección General.
12 Tomado de la Guía de orientación para la gestión de riesgos de seguridad digital en el gobierno Nacional, Territoriales y sector público.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 13 de 25
Nota: si el formato del activo de información es “Base de Datos” y contiene
datos personales, se debe indicar en el formato si se transfieren o transmiten
a nivel internacional.
Formatos
Hoja de Cálculo
Imagen
Software
Video
Documento de texto
Base de Datos
Audio
No aplica TABLA No. 3
Tratamiento Internacional: Indica si el activo se trasfiere, transmita o no
aplica.
Nivel de acceso: Este campo hace referencia al conjunto de colaboradores
que por sus funciones tienen acceso a la información y su nivel se relaciona en
la siguiente tabla:
Nivel de acceso Criterio
Alto Solo son los colaboradores que
hacen parte del proceso
Medio Todos los colaboradores del ICBF
Bajo Todo el público en general (internos
y externos) TABLA No. 4. Niveles de acceso
Clasificación ICBF: En este campo se selecciona la clasificación que contiene
el activo de información de acuerdo con las leyes 1712 de 2014, 1581 de 2012,
el dominio 8 del Anexo A de la norma ISO27001:2013, la normatividad interna
aplicable del ICBF, o apoyados en las Tablas de Retención Documental.
Ley por la cual es Reservada: Si la clasificación del activo de información es
de tipo Reservada, en este campo se debe indicar bajo qué normatividad legal
se ejerce reserva en el activo de información.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 14 de 25
Idioma: Campo que hace referencia al idioma en el que se encuentra el activo
de información, teniendo como base la tabla 5. Esta información es dada
previamente en la identificación de activos de información por cada área de la
Sede de la Dirección General.
Idioma
Español
Inglés
Wayuunaiki TABLA No. 5. Idiomas
II. ATRIBUTO
Es un grupo de información que permite determinar particularidad de los activos
de Información. En el formato para levantamiento de activos de información
abarca los siguientes campos:
ICC: Campo que especifica SÍ/NO el activo de información hace parte de la
Infraestructura Crítica Cibernética del ICBF.
Continuidad de la operación tecnológica: Campo que especifica SÍ/NO el
activo de información es importante para asegurar la continuidad de la
operación tecnológica.
Privacidad: Campo que especifica el nivel Alto, Medio o Bajo, de acuerdo con
la tipología de datos personales que contenga el activo, contemplando lo
siguiente:
Nivel Tipo de datos que contiene el
activo
Alto Sensible, privado, Niños, niñas y
adolescentes (NNA)
Medio Semiprivado
Bajo Público TABLA No. 6. Niveles de topología de datos
III. PROPIEDAD
Es un grupo de información que permite determinar la propiedad de los activos
de información. En el formato para levantamiento de activos de información
abarca los siguientes campos:
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 15 de 25
Propietario del activo: Campo que hace referencia al líder del proceso en el
cual se está realizando el levantamiento de activos de información.
Custodio del Activo: Campo que hace referencia al cargo de la persona que
tiene bajo su responsabilidad la gestión del activo de Información que se está
identificando.
El custodio debe ser el director o jefe del área o dependencia en donde se
realiza el levantamiento de los activos de información, para el caso de las
Regionales el custodio es el coordinador de grupo o Director Regional.
IMPORTANTE: Se debe tener en cuenta las siguientes reglas:
Proceso Tipo de Activo Activo de
Información
Propietario Custodio
Cualquier
Proceso
RECURSO
HUMANO -P
Cualquiera de
las opciones
para el tipo de
activo.
Director de
Gestión
Humana
Responsables
de áreas
funcionales en
la Sede de la
Dirección
General,
Director
Regional,
coordinadores
de grupos o
Coordinadores
de CZ en las
Regionales.
RECURSO
HUMANO-C
Cualquiera de
las opciones
para el tipo de
activo.
Director de
Contratación
Responsables
de áreas
funcionales en
la Sede de la
Dirección
General,
Director
Regional,
coordinadores
de grupos o
Coordinadores
de CZ en las
Regionales.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 16 de 25
Proceso Tipo de Activo Activo de
Información
Propietario Custodio
Gestión de la
Tecnología
e
información
SOFTWARE
Cualquiera de
las opciones
para el tipo de
activo. Líder del
proceso
Subdirector de
Recursos
Tecnológicos o
Subdirector de
Sistemas
Integrados de
Información.
Gestión de la
Tecnología e
información
HARDWARE
Las opciones
asociadas al
tipo de activo,
exceptuando
Token.
Líder del
proceso
Subdirector de
Recursos
Tecnológicos
en la Sede de la
Dirección
General,
Coordinador de
Planeación y
sistemas en las
Sedes
Regionales y el
Coordinador de
CZ en los
Centros
Zonales.
Gestión
Financiera Token
Director
Financiero
Director
Financiero en la
Sede de la
Dirección
General,
Coordinador del
grupo
Financiero en
las Regionales.
Servicios
Administrativos SOPORTE
Aires
acondicionados
de centros de
cableados –
Data center y
plantas
eléctricas.
Director
Administrativo
Director
Administrativo
en la Sede de la
Dirección
General,
Coordinador
Grupo
Administrativo
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 17 de 25
Proceso Tipo de Activo Activo de
Información
Propietario Custodio
en las Sedes
Regionales y
Coordinador de
CZ en los
Centros
Zonales.
Cualquier
Proceso FÍSICO
Cualquiera de
las opciones
para el tipo de
activo.
Líder del
proceso
Responsables
de áreas
funcionales en
la Sede de la
Dirección
General,
Director
Regional,
Coordinadores
de grupos o
Coordinadores
de CZ en las
Regionales.
Cualquier
Proceso ELECTRÓNICO
Cualquiera de
las opciones
para el tipo de
activo.
Líder del
proceso
Responsables
de áreas
funcionales en
la Sede de la
Dirección
General,
Director
Regional,
Coordinadores
de grupos o
Coordinadores
de CZ en las
Regionales.
Gestión de la
Tecnología e
información
SERVICIO
Cualquiera de
las opciones
para el tipo de
activo.
Director de
Información y
Tecnología
Subdirector de
Recursos
Tecnológicos
en la Sede de la
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 18 de 25
Proceso Tipo de Activo Activo de
Información
Propietario Custodio
Dirección
General. TABLA No. 7. Custodios por tipo de activos
IV. UBICACIÓN
Hace referencia al detalle en dónde se encuentra específicamente ubicado el
activo. Puede ser un archivo físico de oficina, archivo digital, sistema de
información, computador, base de datos, una oficina entre otros. En el formato
para levantamiento de activos de información se debe diligenciar dependiendo
si el activo se encuentra disponible en medio físico o en medio electrónico.
Física: Se indica el sitio físico en donde se encuentra el activo (dirección,
nombre de una oficina, ubicación física, entre otros). Ejemplo:
Ak 68 No. 75 a – 50 Sede Metrópolis piso 1 archivo de Gestión, cajón Número
2
Ak 68 No. 75 a – 50 Sede Metrópolis piso 2 puesto de trabajo cajón 1.
Av. Carrera 68 # 64C – 75 piso 4 ala sur oficina del SNBF
Electrónica: Se debe diligenciar la ubicación o ruta donde se encuentra el
activo (por ejemplo, el nombre del equipo en el dominio13 ICBF más la ruta de
la ubicación de la información, o si este se encuentra en un servidor como NAS,
File Server, Aplicaciones, etc.).
La estructura para un equipo local es la siguiente:
Nombre equipo local + ruta donde se encuentra el activo de información.
Ejemplo: ESEDNSISW864\C:\Activo_Información
Nota: cuando la ubicación del activo se encuentre en un computador local,
posterior al análisis realizado por el Gestor de Activos, se evaluará el cambio
de este a la NAS, File Server o al repositorio que la Dirección de Información y
Tecnología indique.
13 Hace referencia al nombre del Dominio del ICBF donde se encuentra la información registrada. Para consultar el nombre del equipo en el dominio se realiza mediante la utilización de
las teclas Windows + pausa.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 19 de 25
Si el activo de Información se encuentra en el File Server, se debe ingresar la
ubicación en donde se encuentra. Ejemplo:
\\172.16.9.31\ArchivosICBF\SGSI\Avances\2017\ACTIVOS
Si el activo de Información se encuentra en un Sistema de Información, se debe
ingresar la URL. Ejemplo: https://sim.icbf.gov.co/sim/módulo
Nivel de Seguridad Física: Indica si la información de tipo física se encuentra
protegida o desprotegida, es decir si cuenta o no con algún tipo de control para
salvaguardar la información.
Nivel de Seguridad Electrónica: Indica si la información de tipo electrónica se
encuentra protegida o desprotegida, es decir si cuenta con controles que
permitan salvaguardar la información.
V. NIVEL DE CRITICIDAD DEL ACTIVO DE INFORMACIÓN
Los activos de información se valorarán de acuerdo con las siguientes premisas
enmarcadas en los atributos de confidencialidad, integridad y disponibilidad,
Nota: estos valores se calculan automáticamente.
Los atributos CID corresponden a:
ATRIBUTOS PREMISAS VALORES
C - CONFIDENCIALIDAD
¿Cuál es el nivel de acceso del activo de información?
Alto equivalente a 0,5 Medio equivalente a 0,3 Bajo equivalente a 0,2
I – INTEGRIDAD
¿En caso de ser utilizado o
modificado por alguna
persona o sistema sin la
debida autorización,
afectaría negativamente los
sistemas y/o procesos de
manera:
¿Leve, importante o grave?
Grave equivalente a 0,5
Importante equivalente 0,3
Leve equivalente a 0,2
D – DISPONIBILIDAD
¿El activo es muy crítico
para las operaciones
internas del ICBF?
Si equivale a 0,1
No equivale a 0
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 20 de 25
¿El activo es muy crítico
para el servicio a terceros?
Si equivale a 0,1
No equivale a 0 TABLA No. 8. atributos CID
Consideraciones para tener en cuenta:
1. El nivel de criticidad del activo se da sumando los valores por cada respuesta de
las premisas indicadas en la Tabla 8, y el valor total se define de acuerdo con lo
siguiente:
Menos de 0,45 será de importancia BAJA.
Entre 0,45 y 0,75 será de importancia MEDIA.
Mayor a 0,75 será de importancia ALTA.
2. Para la información clasificada como Reservada se deben considerar los niveles
más altos en los atributos de confidencialidad, integridad y disponibilidad.
3. Para los criterios del atributo INTEGRIDAD, tener en cuenta lo siguiente para la
evaluación del impacto:
IMPACTO CRITERIO DE EVALUACIÓN
Leve La modificación no autorizada del activo de información afecta de forma moderada la seguridad de la información.
Importante La modificación no autorizada del activo de información afecta de manera representativa la seguridad de la información.
Grave La modificación no autorizada del activo de información afecta de manera seria la seguridad de la información.
TABLA No. 9. Criterios del atributo Integridad
VI. PUBLICACIÓN
Información Publicada (WEB): Se refiere a la información publicada
únicamente en la página web del ICBF.
Enlace URL: Este campo solamente se registra cuando se diligencie en el
campo “Información Publicada (WEB)” el valor de “SI”, se debe colocar el
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 21 de 25
enlace en donde se puede consultar dicha información. Ejemplo:
http://www.icbf.gov.co/portal/page/portal/noticias/ArchivoPrensa14
Información Disponible (No Web): Campo que despliega las Área/
Dependencia o grupo a la cual se debe solicitar la información que sea de
acceso público, pero que por su naturaleza no se encuentra publicada en la
página WEB del ICBF.
4.3. IDENTIFICACIÓN DE ÁREAS SEGURAS
A continuación, se detallan los campos que se establecen en el F2.G10.GTI Formato de
identificación de áreas seguras a nivel nacional:
Id Zona: Número consecutivo que identifica al área segura.
Sede Dirección General / Regional / Centro Zonal: Identifica el lugar físico en la
cual se está realizando la identificación del área segura.
Tipo Dependencia: Campo que despliega regional, centros zonales, CAIVAS,
CESPA, CAVIF, Unidades Locales, Unidades Móviles de acuerdo con la regional
seleccionada en el campo “Sede-Regional”. Para el caso de la Sede de la Dirección
General no despliega información.
Nombre Dependencia: Campo en donde se digitan el nombre de la dependencia
en el cual se encuentra identificado el área segura.
Proceso Dependencia: Campo que despliega los procesos de la Entidad y se debe
seleccionar el correspondiente a la dependencia.
Nombre Área Segura: Nombre con el cual se identifica el área segura por ejemplo
“Centro de Datos, Archivo de Gestión, etc.”
Ubicación Área Segura: Lugar exacto en donde se encuentra el área segura.
Controles de Acceso: Campo que hace referencia a los controles y registros con
los cuales se cuenta para el ingreso a las áreas seguras.
Controles Monitoreo: Campo que hace referencia a los mecanismos de monitoreo
con que cuenta el área segura como por ejemplo “Cámaras de vigilancia, sensores
de humo, sensores de humedad etc.”
Observaciones: Campo para registrar comentarios y/o hallazgos encontrados en
las áreas seguras.
4.4. LISTADO DE ACTIVIDADES
No Actividad Responsable
1 Identificar, actualizar y clasificar los Activos de
Información por cada proceso de la Sede de la
Dirección General.
Directores y Profesionales
designados en las áreas de la
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 22 de 25
No Actividad Responsable
SDG, y profesionales de la DIT
de la SDG.
2 Informar a las regionales que deben iniciar la
identificación de Activos de Información.
Profesionales de la DIT de la
SDG
3 Identificar, actualizar y validar Activos de
Información en Regionales
Directores Regionales /
Profesionales del Grupo de
Planeación y Sistemas /
Profesionales de la Regional /
Profesionales de los Centros
Zonales
4 Enviar al proceso que corresponde si se
requiere la inclusión al instrumento (matriz de
activos) de un nuevo activo por parte de la
regional.
Profesionales del Grupo de
Planeación y Sistemas /
Profesionales de la Regional /
Profesionales de los Centros
Zonales
5 Validar la posibilidad de inclusión del activo
propuesto por la regional en el instrumento.
Profesionales asignados por las
áreas de la SDG
6 Actualizar el instrumento si es aceptado el
nuevo activo.
Profesionales asignados por las
áreas de la SDG
7 Informar a la regional de la decisión de si se
incluye o no, el activo al instrumento.
Profesionales asignados por las
áreas de la SDG
8 Registrar la totalidad de los activos de la
regional.
Profesionales del Grupo de
Planeación y Sistemas /
Profesionales de la Regional /
Profesionales de los Centros
Zonales
9 Realizar Actas de identificación, actualización
y validación de los activos en la regional.
Directores Regionales/
Profesionales del Grupo de
Planeación y Sistemas /
Profesionales de la Regional /
Profesionales de los Centros
Zonales
10 Envío de memorando de aceptación de los
activos de la regional al Director de
Información y Tecnología.
Directores Regionales.
11 Realizar Consolidado de los activos de
información a nivel nacional.
Profesionales de la DIT de la
SDG
12 Enviar memorando a los Líderes de cada
Proceso para Aprobación de los Activos
Director de Información y
Tecnología.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 23 de 25
No Actividad Responsable
13 Validar los activos correspondientes a sus
procesos e informar si se presente alguna
inconsistencia de estos.
Profesionales asignados por las
áreas de la SDG
14 Corregir si se presentan inconsistencias en el
consolidado de los activos de información.
Profesionales de la DIT de la
SDG
15 Aceptar mediante comunicado los activos de
información correspondiente a cada proceso,
en respuesta al enviado por el Director de
Información y Tecnología.
Directores de la Sede de la SDG.
16 Comunicar a la SMO para proceder a la
publicación de las matrices de Activos por
proceso.
Profesionales de la DIT de la
SDG
17 Publicar las matrices de activos de
información.
Profesional de la SMO de la
SDG.
18 Acompañar y orientar en la identificación de
riesgos para los activos de tipo servicio
tecnológico y los que los líderes de los
procesos consideren, cuya criticidad sea alta.
Profesionales de la DIT de la
SDG
5. DOCUMENTOS DE REFERENCIA
Tablas de Retención Documental
Guía para la Gestión y Clasificación de Activos de Información – Modelo de Seguridad y
Privacidad de la Información – MSPI del MINTIC.
Guía para la administración del riesgo y el diseño de controles en entidades públicas.
6. RELACIÓN DE FORMATOS
F1.G10.GTI Formato para levantamiento de activos de información
F2.G10.GTI Formato de identificación de áreas seguras a nivel nacional.
7. CONTROL DE CAMBIOS
Fecha Versión Descripción del Cambio
14/03/2016 G8.MPA6 V.1
Se migra al nuevo formato establecido como resultado del rediseño del
Modelo de Procesos, lo que implica cambio de código.
10/04/2017 G10.GTI.V1 Se actualizan y modifican definiciones y nombres
Se realizaron ajustes en:
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 24 de 25
Fecha Versión Descripción del Cambio
Introducción: se ajustó en redacción, y se ajustaron los tres puntos
principales que se busca dar cumplimiento con la gestión de activos de
información.
Alcance: se hicieron ajustes de redacción, y se complementaron los roles
que participan en el levantamiento y actualización del inventario de activos
de información.
Definiciones: Se organizaron definiciones por orden alfabético, y se
adicionaron las definiciones de: nivel de servicio y servicio.
Numeral 4.1.1. Se modifica el nombre del numeral, y se deja como
Identificación activo de información, y se adicionan acciones
complementarias para el levantamiento y actualización del inventario de
activos de información en el nivel regional.
Numeral 4.1.2 Información mínima, literales I, II, III y IV, se ajustaron de
acuerdo con la actualización que se surtió al formato F1.G10.GTI Formato
para levantamiento de activos de información.
Se actualiza tabla de idiomas
Se actualiza tabla definición de propietario y custodio del componente
Se actualiza numeral 4.1.2 información mínima literal III. UBICACIÓN
Se actualizaron definiciones de ll tabla CLASIFICACIÓN DE LOS
ATRIBUTOS EN TÉRMINOS DE LA TRIADA.
Se elimina el Anexo No 1. Tablas de referencia
18/01/2018 G10.GTI.V2 Se realizaron ajustes en:
Introducción: Se ajustó redacción, se incluye el párrafo “interacción con
gestiones del Sistema de Seguridad de la Información”.
Definiciones: Se elimina definición “Clasificación de activos”, “Información
confidencial”, “información uso interno”, se incluye “Dato personal”,
“Infraestructura crítica” se modifica “Información reservada” y “Servicio” por
“servicio Tecnológico”. Se realiza modificaciones en las tablas No. 1 y No. 2.
Numeral 4.1 se adicionan párrafos y se modifican otros, se elimina la Imagen
del flujo de elaboración del inventario de activos.
Se modifica el nombre del numeral 4.1.1 quedando como “identificación y
validación de activos de información”, se modifican párrafos y se adicionan
otros.
En el numeral 4.1.2 se modifican campos, se adiciona dos opciones en la
tabla No. 3, se cambia la numeración de las tablas en todo el documento, se
realiza modificaciones en la tabla No.5 y No.7
22/01/2018 G10.GTI.V3 Se actualiza rotulado de información de acuerdo con lo dispuesto en la Guía
para la rotulación de la información.
06/03/2018 G10.GTI.V4 En el numeral 3. Definiciones, se adicionó la definición de áreas seguras.
Se adiciona el numeral 4.2. Identificación de áreas seguras.
En el numeral 5. Anexos, se adicionó el formato de identificación de áreas
seguras a nivel nacional.
08/06/2018 G10.GTI.V5 Se modifica la rotulación pasándola de Clasificada a Pública. Se adiciona el
numeral 4.3 LISTADO DE ACTIVIDADES, con la identificación de los
responsables de las actividades que se ejecutan, de acuerdo con las
orientaciones brindadas por la Subdirección de Mejoramiento
Organizacional para el Levantamiento de Cargas.
¡Antes de imprimir este documento… piense en el medio ambiente!
Cualquier copia impresa de este documento se considera como COPIA NO CONTROLADA.
PROCESO GESTIÓN DE LA TECNOLOGÍA E INFORMACIÓN
GUÍA PARA EL DESARROLLO DE INVENTARIO Y
CLASIFICACIÓN DE ACTIVOS
G10.GTI 27/02/2020
Versión 8 Página 25 de 25
Fecha Versión Descripción del Cambio
Se ajusta la guía de acuerdo Lineamientos para la Gestión del Riesgo de
Seguridad Digital en Entidades Públicas, Modelo de Seguridad Privacidad.
17/12/2018 G10.GTI.V6 Se ajusta el ítem: Interacción de la gestión de activos de información con las
demás gestiones del sistema de gestión de seguridad de la información.
Se ajustan los numerales: 2. Alcance, 4.1.2. Consolidación de los activos de
información, 4.1.5. Publicación de los activos de información, 4.1.6. Gestión
de Riesgos para los activos de Información, se eliminó la Imagen 2:
Diagrama de flujo levantamiento y actualización del inventario de activos de
información.
Se ajustó numeral 4.2. Información plantilla levantamiento de activos, y el
detalle de los siguientes campos: ID, Servicio Tecnológico, Activo de
Información, tipo de activo, SERVICIO, hardware, Soporte, Contiene Datos
Personales (se eliminó el nivel de criticidad), nivel de acceso, Clasificación
ICBF, Continuidad de la operación.
Se adiciona: el tipo de activo INTANGIBLE, Clasificación Datos Personales,
el atributo ICC, privacidad.
Se ajustó en ubicación: electrónica y se elimina el campo Nivel de servicio.
En el ítem nivel de criticidad del activo de información se ajusta la tabla 7
correspondiente a los criterios CID
Se ajusta la manera como se calcula el NIVEL DE CRITICIDAD DEL
ACTIVO DE INFORMACIÓN.
Se elimina la tabla CRITERIOS DE LOS ATRIBUTOS EN TÉRMINOS DE
LA TRIADA.
Se ajustan las actividades 2, 3, 9 y 18 del punto 4.4. LISTADO DE
ACTIVIDADES.
Se cambia la denominación del numeral 5 de anexos por documentos de
referencia.
Se adicional el punto 6 relación de formatos.
30/12/2019 G10.GTI.V7 Se adelantaron los siguientes ajustes en la guía:
Se ajusta el OBJETIVO del documento
Se organiza alfabéticamente las DEFINICIONES, y se ajusta la definición del
término Clasificación de la Información
Se ajustó redacción del punto 4.1.2. Consolidación de los activos de
Información
Se relaciona fuente de donde se extrae la definición del tipo de activo
INTANGIBLE
Se ajusta en la premisa INTEGRIDAD en la Tabla 8 el término utilización por
autorización
Se ajusta término promediando por sumando en el apartado de NIVEL DE
CRITICIDAD DEL ACTIVO DE INFORMACIÓN
Se amplió la definición del tipo de activo ELECTRÓNICO
Se ajustaron los ejemplos del campo de UBICACIÓN Física